Protezione dati personali. Dal “Safe Harbor” al “Privacy Shield”


L’UE conferma il nuovo accordo con gli USA per la trasmissione, condivisione e salvaguardia dei dati sensibili

La Corte di Giustizia Europea ha stabilito che l’accordo “Safe Harbor” (Porto Sicuro) – quadro normativo stabilito per aiutare le aziende e le organizzazioni ad essere conformi ai requisiti di privacy sul trattamento e la trasmissione dei dati sensibili dei cittadini tra l’Europa e gli Stati Uniti – stipulato, appunto, tra UE e USA, non è più valido.

L’intesa permetteva la conservazione di dati trasferiti negli USA e appartenenti ad utenti europei secondo le regole locali, attuando la Direttiva Ue 95/46 del Parlamento europeo e del Consiglio del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

L’accordo riguarda le società che immagazzinano i dati dei clienti e dunque, in prima battuta, quelle attive nel business di Internet come Facebook e Google, ma non solo: sono infatti 4.500 le aziende americane che hanno utilizzato il Safe Harbor.
Scopo dell’accordo era quello di impedire la perdita accidentale o la rivelazione di dati personali, ma La Corte di Giustizia Europa ha emanato una sentenza il 6 ottobre 2015, dichiarando che il “US-UE Safe Harbor Framework” non era più valido perché non garantiva adeguatamente la protezione dei dati durante il trasferimento delle informazioni personali dei cittadini europei verso gli Stati Uniti, in quanto non aveva fornito un sufficiente livello di protezione dei dati come richiesto dal diritto comunitario, consentendo a ciascuno dei ventotto Paesi dell’UE di determinare autonomamente in che modo le informazioni online dei loro cittadini potessero essere raccolte ed impiegate.
La decisione ha portato i Garanti delle diverse giurisdizioni europee, Italia inclusa, a sospendere i trasferimenti alla società negli Stati Uniti, poiché non fornivano adeguate protezioni nei confronti dei dati degli utenti.
Tuttavia gli Stati membri hanno concesso un periodo limitato di grazia, per consentire l’attuazione di contromisure a riguardo: con questo impedimento, vale a dire con il quadro normativo del Safe Harbor fuori dai giochi, le aziende italiane ed europee che inviano dati tra l’Unione europea e gli Stati Uniti, sono state costrette a cercare altre opzioni, con clausole standard, ovvero clausole tipo “Binding Corporate Rules”: si tratta in sostanza di redigere delle regole interne da applicare all’intera struttura societaria – indipendentemente dal luogo dove si trovano le branch – volte a regolamentare in maniera unificata proprio il trattamento dei dati personali.

Il Gruppo di Lavoro “Article 29”, che riunisce i Garanti Privacy europei, ricorda che le “Binding Corporate Rules” possono essere usate, ma le autorità di protezione dei dati hanno pieno diritto di indagare sulla base di segnalazioni specifiche, per esercitare le loro funzioni di protezione dei diritti degli individui.

Cosicché, ogni azienda europea ha dovuto trovare nuove modalità per dimostrare giuridicamente che tali dati venissero trattati in conformità alla legislazione UE, proprio in virtù della circostanza che la sentenza ha avuto effetti immediati e di vasta portata anche per le aziende statunitensi.
Comprendere le implicazioni della sentenza è, infatti, di cruciale importanza per le imprese che si affidano a servizi in Cloud erogati da data center fisicamente localizzati in territorio americano. In Italia, il Garante Privacy ha recepito rapidamente la sentenza con il provvedimento del 22 ottobre 2015, secondo cui le imprese italiane e le multinazionali operanti nel nostro Paese sono dovute ricorrere alle altre possibilità previste dalla normativa sulla protezione dei dati personali per trasferire dati oltreoceano.

La Corte di Giustizia Europea ha evidenziato l’esistenza di soluzioni collaudate e fattibili che raggiungano gli standard richiesti per le aziende provider e fornitrici di hardware e software: i fornitori di soluzioni tecnologiche devono garantire la conformità dal punto di vista dello storage e dell’elaborazione dei dati e prevenire i rischi connessi ad azioni legali. I provider tecnologici non devono limitarsi alla sola fornitura infrastrutturale, ma divenire consulenti di fiducia, capendo che il rispetto della privacy dei dati va oltre la garanzia della sicurezza.

Esigenza di correttezza delle regole tecnologiche e legali

Il concetto fondamentale è che qualsiasi azienda deve identificare e prendere tutte le misure necessarie per conformarsi alle leggi specifiche sulla protezione dei dati nei Paesi in cui opera: considerare la privacy dei dati come una questione secondaria non è più un’opzione percorribile per le aziende. È ora obbligatorio includerla nel go-to-market fin dall’inizio.

La sentenza sottolinea che programmi e pratiche efficaci sulla privacy e sulla gestione dei dati sono un dovere per tutte le organizzazioni che devono gestire dati personali.
Le aziende devono rassicurare i propri clienti, partner e dipendenti, che tutti i dati siano raccolti, elaborati, accessibili, condivisi, archiviati, trasferiti e messi in sicurezza in conformità con le leggi applicabili sulla protezione dei dati, e utilizzati in modo legittimo e legale, indipendentemente se i dati vengano archiviati presso l’azienda o presso un fornitore cloud esterno; infatti, il successo commerciale è figlio della fiducia che i consumatori assegnano all’azienda e qualsiasi violazione, accesso e utilizzo non autorizzato di dati personali può “rovinare” ogni impresa.

Come sempre le sfide nascondono da opportunità: “Privacy Shield”

La protezione dei dati implementata correttamente crea una significativa occasione per differenziarsi rispetto alla concorrenza.

Il “Privacy Shield” (Scudo per la Privacy) tra UE e USA, successore del “Safe Harbor”, è un meccanismo di autocertificazione per le società stabilite negli Stati Uniti che intendano ricevere dati personali dall’Unione europea.
In particolare, le società si impegnano a rispettare i principi in esso contenuti e a fornire agli interessati (ovvero tutti i soggetti i cui dati personali siano stati trasferiti dall’Unione europea) adeguati strumenti di tutela, pena l’eliminazione dalla Lista delle società certificate – “Privacy Shield List” – ad opera del Dipartimento del Commercio statunitense e possibili sanzioni da parte della Federal Trade Commission (Commissione federale per il commercio).
La Commissione europea ha ritenuto che il sistema offra un livello adeguato di protezione per i dati personali trasferiti da un soggetto nell’UE a una società stabilita negli Stati Uniti e che lo Shield costituisca una fonte di garanzie giuridiche con riguardo ai trasferimenti dei dati in questione.

Lo Scudo UE-USA per la privacy è in vigore dall’1 agosto del 2016 ed è applicabile a tutte le categorie di dati personali trasferiti dall’UE agli USA, compresi informazioni commerciali, dati sanitari o relativi alle risorse umane, purché la società USA destinataria di tali dati abbia autocertificato la propria adesione allo schema.

Cosicché, dall’inizio dell’agosto 2016, le aziende americane che trasferiscono dati personali dalla UE agli USA fanno riferimento al Privacy Shield.
Il passaggio al nuovo testo è stato fatto per garantire maggiore sicurezza e protezione ai dati dei cittadini europei.
Ma quali sono, in sostanza, gli aspetti che rendono il nuovo regolamento migliore rispetto al suo predecessore?

Trasparenza, controllo e garanzie sono i pilastri che distinguono il Privacy Shield

 

  • Limitazioni e garanzie ai dati di accesso: la possibilità, da parte delle autorità statunitensi, di accedere ai dati personali degli utenti europei è stato uno dei principali motivi della fine del Safe Harbor. Per questo motivo è stato stabilito che l’intelligence americana debba sottostare ad impegni e restrizioni specifiche per quanto riguarda il monitoraggio dei dati trasferiti. Per tutelare ulteriormente i cittadini, il Privacy Shield dà la possibilità di rivolgersi ad un ente esterno per assicurarsi che i propri dati non siano utilizzati in modo scorretto e illegale.
  • Revisione continua: un punto debole del Safe Harbor era non ricevere i giusti procedimenti di revisione che assicurassero un adeguato livello di protezione: il nuovo accordo, invece, prevede un controllo annuale.
  • Controllo delle violazioni: a differenza del suo predecessore, il Privacy Shield, impone alle imprese aderenti di mostrare un riscontro degli impegni presi in materia di protezione dei dati. Inoltre, le aziende saranno soggette a controlli periodici effettuati dalla Federal Trade Commission e dal Department of Commerce, i due enti collaboranti con le autorità europee, e dovranno rispondere ai cittadini europei, i quali avranno a disposizione svariati strumenti per far valere i propri diritti.
  • Trasparenza: la comunicazione chiara e semplice delle finalità del trasferimento dei dati, delle responsabilità relative ad esso e dei diritti degli utenti è uno dei capisaldi della privacy moderna ed era assente nel Safe Harbor. Ora, grazie al nuovo accordo, gli utenti avranno il diritto di essere informati su tutto quanto accade ai loro dati personali, con la possibilità di negare il consenso qualora ritengano che essi possano essere usati in modo non appropriato.

Appare evidente, come è oramai noto, che le imprese gestiscono una moltitudine di dati personali. Di qui l’importanza che esse li rispettino ponendo in essere vari adempimenti.

Sulla carta è già palpabile la grande differenza tra i due accordi, ma sarà l’effettiva applicazione delle linee guida a determinare l’efficacia del Privacy Shield e la sua capacità di soddisfare le esigenze di protezione richieste dalle autorità del Vecchio Continente.